統計→意思決定のマップ(全体像)
① 入口(Initial Access)
フィッシング、侵害資格情報、VPN/境界機器の脆弱性悪用、公開サービスの設定不備。
対応:MFA・PAM・境界縮小・パッチ
② 横展開(Lateral Movement)
同一テナント・同一ネット内での移動、特権昇格、共有ID悪用。
対応:ネット/テナント分離、最小権限、JIT付与
③ 検知(Detection/Response)
アラート取りこぼし、ログ欠落、MTTD/MTTRの遅さ。
対応:ログ網羅・相関・保存、運用レビュー
ポイント:統計は「どこが燃えやすいか」を教えます。意思決定では、入口→横展開→検知の順で、同時並行で最小実装を回すのが王道です。
どの指標を見るべきか(8指標)
| 指標 | 読み方 | 意思決定での使い方 |
|---|---|---|
| 感染経路比率(フィッシング/資格情報/境界機器/公開サーバ) | 入口どこからが多いか。年により増減するが、メール・外部接続・脆弱性の3点は一貫して上位。 | 入口対策の重みづけ(MFA、フィッシング対策、境界機器の更新SLA)を決定。 |
| 脅威ランキング(組織向け) | サプライチェーン攻撃、ランサム、内部不正、DDoS等の相対順位。 | 社外説明(なぜ投資が必要か)と、契約・再委託管理の強度設定に活用。 |
| 公表脆弱性数(特に境界機器・VPN・認証周り) | ゼロデイや重大脆弱性が集中する領域は、更新遅延=高露出となる。 | パッチSLA・例外承認プロセス・代替防御(仮想パッチ)の導入判断。 |
| MTTD/MTTR(検知/対応時間) | 平均検知・復旧時間。検知遅延は横展開・暗号化成功率を押し上げる。 | 監視体制(24/365か否か)とツール連携(相関・自動化)に投資判断。 |
| 人為ミス比率(設定不備・誤送信等) | 一定割合で横ばい〜高止まり。クラウド設定や権限設計で顕在化。 | 標準化テンプレ・自動ガードレール・四眼原則の整備を優先。 |
| 被害額・停止日数の中央値 | 個別事例の極端値に引きずられず、中央値で費用対効果を評価。 | 投資対効果(回避損失)計算の基礎値として採用。 |
| 再委託階層の深さ・件数 | 階層が深いほど可視化困難。年次把握の網目が粗くなりやすい。 | ★4要件の準備(重要パートナーの年次確認、台帳整備、監査権)を決定。 |
| インシデント通知SLA遵守率 | 社内・委託先の通報タイムラグを可視化。 | 契約SLAの見直しと、訓練での是正計画を策定。 |
出典は年により更新されます。毎年同じ指標でトレンドを見ることが重要です(例:感染経路の順位が変わっても、入口対策の重要性自体は不変)。
優先度の数式化:Exposure × Likelihood × Impact
統計の数字を方針に落とすには、三つの軸でスコア化するとブレません。
- Exposure(露出):自社の技術スタックと運用の“外気”への開放度(例:境界機器の老朽・SaaSの設定・公開サービス)。
- Likelihood(発生確率):外部統計の発生比率を参照し、直近の増減傾向を重み付け。
- Impact(影響):停止・漏えい・説明責任の負担(契約ペナルティ、レピュテーション、法令)を金額換算。
各項目を0〜5で採点し、優先度スコア=E×L×Iで算出。20点以上は即着手、10〜19点は計画内の早期、9点以下は他の施策の便乗で実装します。
| リスク項目 | E | L | I | スコア | 初動 |
|---|---|---|---|---|---|
| VPN機器の重大脆弱性と未適用 | 5 | 4 | 5 | 100 | 即日緊急対応・仮想パッチ・更新SLA |
| メール経由の資格情報詐取(MFA不足) | 4 | 4 | 4 | 64 | MFA全面化・フィッシング訓練 |
| 分離の不足による横移動 | 3 | 3 | 4 | 36 | セグメント化・権限見直し |
このスコアは意思決定のための社内共通言語です。取引・監査・第三者評価での説明にもそのまま使えます。
ホットスポット3領域(入口/横展開/検知)
入口(メール・認証・境界機器)
- MFAの全面化(人・特権・API)
- 境界機器/VPNの更新SLA(重大脆弱性の翌営業日内など)
- サプライヤーのリモート接続のJIT化(常時→オンデマンド)
- フィッシング対策(訓練・DMARC/ DKIM/ SPF・リンク分離)
横展開(分離・権限・共有ID排除)
- 顧客・環境別テナント分離、機密区画のネット分離
- 最小権限・役割ベース・四眼原則
- 共有ID撤廃、特権はPAM+操作録画+JIT
検知(ログ網羅・保存・相関)
- ID・ネット・端末・クラウド管理面のログ網羅
- 保存年限と耐改ざん(WORM相当)
- 相関ルールの最小セットと月次レビュー
★3で下げられる具体リスクとKPI
★3は“入口・横展開・検知”の最小実装で、組織の被害確率と被害規模を目に見えて下げます。KPIを添えて運用すると効果が定着します。
| リスク | ★3の主施策 | KPI/運用指標 | 想定効果(方向性) |
|---|---|---|---|
| フィッシング経由の侵害 | MFA全面化/メールガード/訓練 | MFAカバレッジ100%・疑義報告平均時間・訓練クリック率 | 初期侵入成功率の継続低下 |
| 境界機器の脆弱性悪用 | 更新SLA・仮想パッチ・露出縮小 | 重大CVE対処までの中央値・インターネット露出台帳の完全性 | 外部からの踏み台化の抑制 |
| 共有ID/特権乱用 | 共有ID撤廃・PAM・JIT付与 | 共有ID件数ゼロ・特権付与の平均時間・操作録画率 | 横展開と痕跡消しの困難化 |
| 検知遅延 | ログ網羅・保存・相関・アラート設計 | MTTD/MTTR・高優先アラートの精度・誤検知率 | 暗号化やデータ破壊の前段で遮断 |
KPIを「回す」ための週次ルーチン
- 月曜:重大CVE対応状況レビュー(未適用・迂回策・期限)
- 水曜:特権JIT付与の棚卸し(恒常付与をゼロに)
- 金曜:アラート精度・ノイズのチューニング、翌週の改善項目確定
KPIは“改善のための計器”です。数値を責めるのではなく、原因と是正の会話に使うと定着します。
取締役会向け1ページ資料の作り方
数字が苦手な相手にも伝わるよう、「今どこが危ないか」と「今月どれだけ下げたか」だけを1ページに収めます。
- トップ左:優先度スコア上位3リスク(E×L×Iと直近の変化)
- トップ右:被害回避の概算(中央値×発生確率低下)
- 中段:★3施策の進捗(MFA、SLA、PAM/共有ID、ログ網羅)
- 下段:来月の重点(1〜3件)とリソース要請
【書式サンプル】
・リスク名/E×L×I=36(先月比-8)
・主要対策:MFA全面化(進捗92%→96%)、特権JIT(恒常0件達成)
・回避損失:停止中央値×低下率=約X千万円相当まとめ
- 統計は「入口・横展開・検知」の3領域に集約して読むと意思決定が速い。
- E×L×I(露出×発生確率×影響)でスコア化し、20点以上は即着手。
- ★3の最小実装(MFA・境界更新SLA・分離・ログ網羅)は、被害確率と被害規模を短期で下げる最有力。
- 取締役会は“どこが危ない/どれだけ下がった”の1ページで合意形成を加速する。
FAQ(3問)
- Q1. 統計は毎年変わるのに、方針がブレませんか?
- A. 指標は変化しますが、入口・横展開・検知の枠組みは不変です。数字は重み付けに使い、枠組みは固定するのがコツです。
- Q2. 自社データが少なく、外部統計に頼るのは危険では?
- A. 最初は外部統計で初期重みを決め、3か月ごとに自社KPIで微調整します。外→内の順で精度を高める運用が現実的です。
- Q3. ★3だけで本当に効果は出ますか?
- A. ★3は被害確率と横展開速度を下げる最小実装です。重要取引や高リスク領域は、★3を土台に★4の第三者評価・再委託監督を重ねることで、対外説明力が高まります。
